Tag Archives: Trojan.Mdropper

寄稿: Satnam Narang

Backdoor.Egobot は、韓国の産業界を標的とした攻撃で使われているトロイの木馬です。この攻撃の実行は直接的であり、しかも効果的です。シマンテックのデータによると、この攻撃活動が始まったのは 2009 年のことで、それ以来 Egobot は新しい機能を追加しながら進化し続けています。攻撃者は、標的型攻撃の 4 つの基本原則に則っています。

1. 標的を特定する
2. 標的を悪用する（ペイロードを投下するため）
3. 悪質な活動を実行する（この場合は、情報を盗み出す）
4. 検出されないように潜伏する

シマンテックはこれと並行した攻撃も発見していますが、こちらはもっと古く 2006 年には活動を開始しています。これについては、次のブログで取り上げます。
 

Egobot の標的

Egobot は、韓国企業の経営幹部を標的にしているほか、韓国と取引のある企業の経営幹部も狙われています。以下のような業種が Egobot の標的となっています。

• 金融および投資
• 社会インフラおよび開発
• 政府機関
• 軍需産業

韓国、オーストラリア、ロシア、ブラジル、米国と世界各国の組織が狙われています。
 

図 1. Backdoor.Egobot の標的となった国
 

Egobot による攻撃の目的は、侵入したコンピュータから機密情報を盗み出すことです。
 

悪用

攻撃者は、標的を罠に掛ける前に、ソーシャルエンジニアリングの手法を用いて標的に関する情報を収集します。標的に宛ててスピア型フィッシングの電子メールが送信されますが、多くの場合これは知人から送信されたかのように偽装されています。この電子メールには標的に関係のある内容や気を引くようなメッセージが書かれており、悪質な添付ファイルを開かせようとします。悪質な添付ファイルはショートカット（.lnk）ファイルの場合もあり、その場合のリンク先は日本のジオシティーズ上でホストされているファイルです。
 

図 2. Egobot のスピア型フィッシングメールと悪質なショートカットの添付ファイル
 

この攻撃で使われている悪質な添付ファイルの種類は多岐にわたります。

• .lnk ファイル: 以前から見られる手口ですが、今回の攻撃者は Microsoft 社の HTML アプリケーション（MSHTA）も使って別のファイルをシステムにダウンロードします。
• .doc ファイル: 以下の脆弱性を悪用します。
  • Microsoft Office の RTF ファイルに存在するスタックバッファオーバーフローの脆弱性（CVE-2010-3333）
  • Adobe Flash Player の ‘SWF’ ファイルに存在するリモートメモリ破損の脆弱性（CVE-2011-0609）
• .hwp ファイル: 悪質なファイルをダウンロードするスクリプトが含まれています。

添付ファイルを開くと、以下のような 3 段階のダウンロードプロセスが実行されます。

第 1 段階: 不明瞭化された HTML ファイルのダウンロード

各添付ファイルによって、ジオシティーズ上にホストされているサイトからマルウェアがダウンロードされます。ファイルは同じではありませんが、通常は update[YYYYMM].xml という名前の不明瞭化された HTML ファイルです。これがシステムに実行可能ファイルを投下します。

第 2 段階: RAR アーカイブのダウンロード

第 1 段階で投下された実行可能ファイルが、ジオシティーズから別のファイルを取得します。これは hotfix[YYYYMM].xml という名前で、実行可能な RAR ファイルです。第 1 段階と第 2 段階でダウンロードされる 2 つのファイルは、正常なファイルに見せかけるために XML 文書に偽装されています。

第 3 段階: バックドアコンポーネントのダウンロード

実行可能な RAR ファイルがシステムを準備します。ファイルを移動し、プロセスにコンポーネントをインジェクトして、以下のシステム情報を盗み出す機能を持つ一連のファイルが投下されます。

• Windows のバージョン
• インストールされているサービスパックのバージョン
• インストール言語
• ユーザー名
   

図 3. 盗み出されたシステム情報は Egobot の文字列で確認できる
 

盗み出された情報は、Egobot のコマンド & コントロール（C&C）サーバーに以下の形式で送信されます。

• /micro/advice.php?arg1=1irst&arg2=[BASE64 でエンコードされた文字列]
• /micro/advice.php?arg1=1irst&arg2=[ハッシュ]&arg3=[BASE64 でエンコードされた文字列]
   

図 4. C&C サーバーに返される通信内容。赤い囲みが arg1 の値
 

C&C サーバーに返されるデータは、マルウェアに組み込まれた循環鍵を使って暗号化されます。具体的には、以下の 2 つの鍵が確認されています。

• youareveryverygoodthing
• allmyshitisveryverymuch

最後に、実行可能な RAR ファイルがジオシティーズから最後のコンポーネントをダウンロードします。ここでダウンロードされるファイルには、C&C に送信される GET コマンドの arg1 の値を使って名前が付けられます。上の例で言うと、Egobot は 1irst.tmp というファイルをダウンロードします。これがメインのペイロードです。
 

情報の窃盗

メインのペイロードには、標的となる企業の経営幹部にとって致命的となる恐れのある機能があります。たとえば、次のような機能です。

• ビデオを録画する
• 音声を録音する
• スクリーンショットを取得する
• リモートサーバーにファイルをアップロードする
• 最新使った文書のリストを取得する
• ファイルにおける文字列やパターンを検索する
• 復元ポイントを削除して設定する

盗み出された情報は、マレーシア、香港、カナダでホストされているリモートサーバーにアップロードされます。攻撃者は、64 ビットプラットフォームでもシームレスに動作するように、64 ビット版を追加してコードを更新しています。
 

検出をすり抜けて潜伏

Egobot は、商用パッカーの exe32pack と UPX を使って各種コンポーネントとともに圧縮された RAR バンドルアーカイブとしてシステムにダウンロードされます。マルウェアの存在を隠蔽するために、以下のコンポーネントが使われています。

1. Detours コンポーネント: Backdoor.Egobot は、以前のバージョンの Microsoft Detours ソフトウェアパッケージの機能を使ってコンパイルされているため、detoured.dll ファイルが含まれています。このファイルは、悪質な .dll ファイルを正規の Win32 バイナリにアタッチするために使われます。Egobot はこのファイルを使って、正規プロセスのメモリ内で正常なプロセスに偽装して自身を実行できます。
2. コーディネータコンポーネント: ファイルを適切なフォルダに移動し、正規のプロセスにインジェクトすることによってファイルを準備します。Backdoor.Egobot は、explorer.exe、subst.exe、alg.exe の各プロセスにインジェクトされるのが普通です。
3. タイマー機能: バックドアコンポーネントの一部のバージョンには、一定日数の経過後にトロイの木馬が自身を削除できるように、タイマー機能が組み込まれています。この機能によって、Backdoor.Egobot の痕跡はすべて削除されます。
    

図 5. Backdoor.Egobot のコンポーネント
 

シマンテック製品をお使いのお客様は、Symantec Email Security.cloud によって保護されています。この攻撃の悪質なサンプルは、Trojan Horse、Trojan.Dropper、Trojan.Mdropper、Backdoor.Egobot として検出されます。

残念ながら、悪い話はこれだけではありません。シマンテックによる Egobot の研究から、Egobot に関連して並行した攻撃も確認されており、これは Egobot より 3 年近く早い 2006 年から活動を続けているのです。（Egobot 攻撃との関連も含めて）Nemim 攻撃について詳しくは、別のブログ「Infostealer.Nemim: 拡散力の強い Infostealer の進化の経緯」を参照してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Satnam Narang

Backdoor.Egobot is a Trojan used in campaigns targeting Korean interests. The execution of the campaigns is straightforward and effective. Symantec data indicates the campaigns have been in operation since 2009. Egobot has continuously evolved by adding newer functionalities. The attackers use the four golden rules of a targeted campaign:

1. Identify targets
2. Exploit targets (in order to drop the payload)
3. Perform malicious activity (in this case, stealing information)
4. Remain undetected

We have also uncovered a parallel campaign that has been in operation as early as 2006, which we will cover in another blog.
 

Egobot targets

Egobot is targeted at executives working for Korean companies and also at executives doing business with Korea. Industries targeted with Egobot include:

• Finance and investment
• Infrastructure and development
• Government agencies
• Defense contractors

Targets are located around the globe and include Korea, Australia, Russia, Brazil, and the United States.
 

Figure 1. Countries targeted with Backdoor.Egobot
 

The aim of the Egobot campaign is to steal confidential information from compromised computers.
 

Exploitation

The attackers gather information about their targets using social engineering techniques prior to luring them into the trap. The targets are sent a spear phishing email, often pretending to be sent from a person they already know. The spear phishing email contains a relevant or enticing message to the target, prompting them to open the malicious attachment. The malicious attachment may be a shortcut .lnk file that points to a file hosted on GeoCities Japan.
 

Figure 2. Egobot spear phishing email with malicious shortcut attachment
 

Various malicious attachments have been used in this campaign:

• .Lnk files: We have seen this tactic used before, however, these attackers also use Microsoft’s HTML Application (MSHTA) to download another file onto the system.
• .Doc files: Exploits the following vulnerabilities:
  • Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333)
  • Adobe Flash Player ‘SWF’ File Remote Memory Corruption Vulnerability (CVE-2011-0609)
• .Hwp files: Contains script that downloads a malicious file

When attachments are opened it triggers the following three-stage download process:

Stage 1: Download obfuscated HTML file

Each of the attachments downloads malware from sites hosted on GeoCities Japan. The files vary, but are usually named update[YYYYMM].xml which is  an obfuscated HTML file that drops an executable on the system.

Stage 2: Download RAR archive

The dropped executable from Stage 1 then retrieves another file from GeoCities Japan. This file is hotfix[YYYYMM].xml, which is an executable RAR file. Both downloaded files in the first two stages are disguised as XML documents in an attempt to pass as a clean file.

Stage 3: Download back door component

The executable RAR file is responsible for preparing the system. It drops a set of files which are responsible for moving files around, injecting a component into processes, and stealing the following system information:

• Windows version
• Installed service pack version
• Install language
• User name
   

Figure 3. Stolen system information found in Egobot strings
 

Stolen information is sent to Egobot’s command-and-control (C&C) server in the following format:

• /micro/advice.php?arg1=1irst&arg2=[BASE64 ENCODED STRING]
• /micro/advice.php?arg1=1irst&arg2=[HASH]&arg3=[BASE64 ENCODED STRING]
   

Figure 4. Communication back to C&C server, arg1 value highlighted
 

Data that is sent back to the C&C is encrypted using a rotating key embedded within the malware. We observed the following two specific keys:

• youareveryverygoodthing
• allmyshitisveryverymuch

Finally, the executable RAR file downloads one last component from GeoCities Japan. This downloaded file is named using the value of arg1 in the GET command sent to the C&C. In this case, Egobot attempts to download a file called 1irst.tmp, which is the main payload.
 

Stealing information

The main payload has specific functions that are potentially disastrous for targeted business executives. These functions include:

• Recording video
• Recording audio
• Taking screenshots
• Uploading files to a remote server
• Obtaining a recent document list
• Searching for a string or pattern in a file
• Deleting and setting restore points

The stolen information is uploaded to remote servers hosted in Malaysia, Hong Kong, and Canada. The attackers have also updated their code to include 64-bit versions to work seamlessly across 64-bit platforms.
 

Staying under the radar

Egobot is downloaded onto a system as a bundled RAR archive with various components packed using commercial packers exe32pack and UPX. These following components are used to mask the presence of the malware:

1. Detoured component: Backdoor.Egobot is compiled using an older version of Microsoft’s Detours software package functionality, which includes the detoured.dll file. This file is used to attach malicious .dll files to legitimate Win32 binaries. Egobot can use this file to run itself in the memory of a legitimate process, masquerading as a clean process.
2. Coordinator component: Prepares files by moving them into the appropriate folders and injecting them into legitimate processes. Backdoor.Egobot is typically injected into the explorer.exe, subst.exe, and alg.exe processes.
3. Timer functionality: Some versions of the back door component include a timer functionality so the Trojan can delete itself after a certain date. This feature removes any traces of Backdoor.Egobot.
    

Figure 5. Backdoor.Egobot components
 

Symantec customers are protected by Symantec Email Security.cloud. Malicious samples from this campaign are detected as Trojan Horse, Trojan.Dropper, Trojan.Mdropper, and Backdoor.Egobot.

And, unfortunately, there is more to this story. Through our research into Egobot, Symantec has identified a parallel operation related to Egobot that has been active since 2006, about three years before Egobot. Further details on the Nemim campaign—including its relation to the Egobot campaign—are explained in a separate blog, Infostealer.Nemim: How a Pervasive Infostealer Continues to Evolve.